interactive GDPR 2016/0679 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- datos personales
- tratamiento
- limitación del tratamiento
- elaboración de perfiles
- seudonimización
- fichero
- responsable del tratamiento
- encargado del tratamiento
- destinatario
- tercero
- consentimiento del interesado
- violación de la seguridad de los datos personales
- datos genéticos
- datos biométricos
- datos relativos a la salud
- establecimiento principal
- representante
- empresa
- grupo empresarial
- normas corporativas vinculantes
- autoridad de control
- autoridad de control interesada
- tratamiento transfronterizo
- objeción pertinente y motivada
- servicio de la sociedad de la información
- organización internacional
- tratamiento 59
- para 23
- evaluación 15
- datos_personales 14
- responsable 14
- protección 13
- artículo 13
- datos 12
- operaciones 11
- impacto 10
- apartado 9
- refiere 7
- derecho 7
- base 7
- necesario 7
- relativa 7
- será 7
- interesados 7
- autoridad_de_control 7
- estados 6
- fines 6
- miembros 6
- intereses 6
- conformidad 6
- como 5
- cuando 5
- otras 5
- cumplimiento 5
- aplicación 5
- particular 5
- interesado 5
- medidas 5
- la 5
- cuando 4
- reglamento 4
- específicas 4
- letras c 4
- unión 4
- relación 4
- derechos 4
- interés 4
- personas 4
- listas 4
- dicha 4
- jurídica 4
- presente 4
- entre 4
- público 4
- ejercicio 4
- autoridades 3
Artículo 6
Licitud del tratamiento
1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
| a) | el interesado dio su consentimiento para el tratamiento de sus datos_personales para uno o varios fines específicos; |
| b) | el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; |
| c) | el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; |
| d) | el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; |
| e) | el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; |
| f) | el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos_personales, en particular cuando el interesado sea un niño. |
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.
2. Los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado 1, letras c) y e), fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo, con inclusión de otras situaciones específicas de tratamiento a tenor del capítulo IX.
3. La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:
| a) | el Derecho de la Unión, o |
| b) | el Derecho de los Estados miembros que se aplique al responsable del tratamiento. |
La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos_personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.
4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos_personales no esté basado en el consentimiento_del_interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos_personales, tendrá en cuenta, entre otras cosas:
| a) | cualquier relación entre los fines para los cuales se hayan recogido los datos_personales y los fines del tratamiento ulterior previsto; |
| b) | el contexto en que se hayan recogido los datos_personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento; |
| c) | la naturaleza de los datos_personales, en concreto cuando se traten categorías especiales de datos_personales, de conformidad con el artículo 9, o datos_personales relativos a condenas e infracciones penales, de conformidad con el artículo 10; |
| d) | las posibles consecuencias para los interesados del tratamiento ulterior previsto; |
| e) | la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización. |
Artículo 35
Evaluación de impacto relativa a la protección de datos
1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos_personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
2. El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.
3. La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de:
| a) | evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración_de_perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar; |
| b) | tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos_personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o |
| c) | observación sistemática a gran escala de una zona de acceso público. |
4. La autoridad_de_control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos de conformidad con el apartado 1. La autoridad_de_control comunicará esas listas al Comité a que se refiere el artículo 68.
5. La autoridad_de_control podrá asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos. La autoridad_de_control comunicará esas listas al Comité.
6. Antes de adoptar las listas a que se refieren los apartados 4 y 5, la autoridad_de_control competente aplicará el mecanismo de coherencia contemplado en el artículo 63 si esas listas incluyen actividades de tratamiento que guarden relación con la oferta de bienes o servicios a interesados o con la observación del comportamiento de estos en varios Estados miembros, o actividades de tratamiento que puedan afectar sustancialmente a la libre circulación de datos_personales en la Unión.
7. La evaluación deberá incluir como mínimo:
| a) | una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento; |
| b) | una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad; |
| c) | una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y |
| d) | las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos_personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas. |
8. El cumplimiento de los códigos de conducta aprobados a que se refiere el artículo 40 por los responsables o encargados correspondientes se tendrá debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados, en particular a efectos de la evaluación de impacto relativa a la protección de datos.
9. Cuando proceda, el responsable recabará la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.
10. Cuando el tratamiento de conformidad con el artículo 6, apartado 1, letras c) o e), tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operación específica de tratamiento o conjunto de operaciones en cuestión, y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán de aplicación excepto si los Estados miembros consideran necesario proceder a dicha evaluación previa a las actividades de tratamiento.
11. En caso necesario, el responsable examinará si el tratamiento es conforme con la evaluación de impacto relativa a la protección de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.
Artículo 55
Competencia
1. Cada autoridad_de_control será competente para desempeñar las funciones que se le asignen y ejercer los poderes que se le confieran de conformidad con el presente Reglamento en el territorio de su Estado miembro.
2. Cuando el tratamiento sea efectuado por autoridades públicas o por organismos privados que actúen con arreglo al artículo 6, apartado 1, letras c) o e), será competente la autoridad_de_control del Estado miembro de que se trate. No será aplicable en tales casos el artículo 56.
3. Las autoridades de control no serán competentes para controlar las operaciones de tratamiento efectuadas por los tribunales en el ejercicio de su función judicial.
whereas
dal 2004 diritto e informatica